如何用WSUS2.0分发补丁

如何利用WSUS进行补丁分发

在上一篇博文中，我们完成了WSUS2.0SP1的部署，本文我们就来介绍如何利用WSUS进行补丁分发。WSUS的实验拓扑如下图所示，Florence是域控制器，Berlin是WSUS服务器，Perth是工作站。WSUS服务器已经在同步选项中对产品及类别进行了设置，也已完成了同步。我们接下来就要利用这个环境进行补丁分发。

完成补丁分发，需要注意以下三点：

一 WSUS分组管理

二组策略或注册表设置

三 WSUS更新批准

下面分别介绍具体内容

一 WSUS分组管理

分组管理可以把WSUS客户机放入不同的组中进行管理，每个组可以有不同的补丁管理策略，这些对于管理工作的细化很有好处。举个简单的例子，微软已经发布了Windowx XP SP3，但这个补丁安装后的效果如何管理员却没有把握。这时管理员可以创建一个测试组，仅允许测试组的计算机安装Windows XP SP3，如果效果不错就向全体用户推广，如果效果不佳就停止部署。因此我们有必要先进行计算机组的设置。

在浏览器中输入[url]http://berlin/wsusadmin[/url]，打开WSUS服务器的管理页面，在管理页面中点击“计算机”，如下图所示，WSUS安装时默认创建了两个组，一个是“所有计算机”组，一个是“未指定的计算机”组。默认情况下每个WSUS的客户机都会属于这两个组。

我们准备创建两个组，一个名为ITET，一个名为TEST。ITET组用于普通的客户机，TEST组用于测试补丁的客户机。点击上图中的“创建计算机组”，弹出对话框要求我们输入组名，如下图所示，我们为计算机组命名为ITET。这样我们就创建出了一个计算机组，然后用同样的方法再创建一个名为“TEST”的计算机组。

计算机组创建完成后，如何将客户机加入到指定的组中？WSUS提供了两种方法供管理员选择，我们可以在WSUS的管理页面中点击“选项“，如下图所示，点击”计算机选项“

在计算机选项中我们看到有两种选择，一种是用组策略或注册表决定客户机加入哪个计算机组，一种是在WSUS服务器的管理页面中用移动计算机的方法将客户机加入计算机组。

如果客户机数量较少，移动计算机的操作是比较简单的；但如果客户机数量较多，显然还是组策略更有效率。在此我们选择利用组策略或注册表进行设置，点击“保存设置”让更改生效。

二组策略或注册表设置

到目前为止，我们部署了WSUS服务器，创建了计算机组。但客户机如何知道哪台计算机是自己需要的WSUS服务器，客户机应该加入哪个计算机组呢？这些设置可以通过组策略或注册表来完成（其实两者是一样的，组策略不过是提供了一个友好的修改注册表的界面）。

1） 用组策略设置

如果在域环境下，用组策略是效率最高的方法。我们只要部署一个域级别的组策略，就可以轻松完成WSUS设置。在域控制器Florence上依次点击开始－程序－管理工具－Active Directory用户和计算机，右键点击wsustest.com域，选择属性。在属性中切换到组策略标签，如下图所示，选择默认组策略“Default Domain Policy”，点击编辑按钮。

在组策略编辑器中展开计算机配置－管理模板－Windows组件－Windows Update，如下图所示，在此我们可以进行WSUS相关策略的设置。

编辑“配置自动更新”策略，如下图所示，在此策略中我们选择启用自动更新，并且将自动更新模式配置为自动下载并通知安装，在此模式下客户机会自动下载补丁但在安装补丁前会通知用户。

编辑“指定Intranet Microsoft更新服务位置”策略，如下图所示，在此策略中可以设定WSUS更新服务器和统计服务器。Intranet更新服务器提供补丁下载，Intranet统计服务器提供报表统计，在此例中我们用一台服务器同时提供这两种服务。我们描述服务器可以使用Netbios名称，完全合格域名或IP。

编辑“允许客户端目标设置”策略，如下图所示，在此策略中我们可以设置客户机加入的WSUS计算机组，我们将计算机的目标组设置为刚创建的“ITET”

完成上述设置后，基本已经可以满足WSUS实验需求，其他策略我们就不一一列举了。

2） 用注册表设置

如果部署环境是在工作组中，那么就没有域环境这么方便了。虽然我们可以编辑每台计算机的本地安全策略，但这么做对一名管理员的耐心是一个极大的考验。在这种情况下，管理员一般会采用导入/导入注册表的方法来进行设置。具体是这样的，先在一台模板计算机上编辑好本机的组策略，设置方法如前文介绍。然后用regedit打开模板计算机的注册表，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate，如下图所示，我们看到注册表中已经设好了WSUS服务器的名称，计算机加入的目标组等参数。我们现在要做的就是把这些注册表设置导出成文件，然后在其他的计算机上进行导入操作。我们在WindowsUpdate上点击右键，选择“导出”

如下图所示，我们选择将Windowsupdate分支导出成文件，文件名为C:\WSUS.REG。

然后我们只需将WSUS.REG文件利用电子邮件或文件服务器分发给其他用户，每个用户双击此注册表文件进行导入操作即可。

三 WSUS更新审批

完成了前面的设置，接下来就该进行实质性的操作，我们要在WSUS服务器上分发补丁了！上篇博文中我们对WSUS服务器进行的同步设置中规定了WSUS只能涉足Win2003平台下的安全更新和关键更新，这些更新必须经过WSUS服务器批准安装才能分发到客户机上。下面我们来看看到目前为止哪些更新被批准安装了，打开WSUS服务器的管理页面，点击页面上方的“更新”，如下图所示，在左侧视图中对“产品和分类”选择“关键和安全更新”，对“批准”选择“安装”，在“已同步”处选择“任何时间”，这时右侧面板中显示被批准安装的更新只有两个。一个是Windows install 3.1，一个是Bits2.0和Http5.1，这两个更新是WSUS客户端所必须的，肯定会被批准安装。问题是那其他的更新为什么没被批准呢？原来WSUS服务器对安全更新和关键更新默认只批准检测，不批准安装。现在我们来批准安装一些更新。

1） 手工批准更新

在WSUS服务器的管理页面中选择更新中，在左侧视图中对“批准”选择“仅检测”，如下图所示，这时右侧面板中显示共有301个更新，每个更新前的图标是灰色的，代表此更新没有被批准安装。我们选择所有更新，点击左上角的“更改批准”

如下图所示，我们对所有更新都批准安装。其实有些补丁并不适合当前环境，例如有一些64位的补丁，但实验环境下我们就不仔细筛选了。从下图中还可以看到，对每个组可以采取不同的管理策略，例如有的组批准安装，有的组只批准检测，管理起来非常灵活。这也是我们设置计算机组的意义所在。

将更新的状态从批准检测更改为批准安装后，WSUS开始对补丁状态进行更改，如下图所示。

如下图所示，状态更改完成，每个更新前的图标变成了绿色箭头，这代表此更新被批准安装，现正在下载中，但还没有下载完毕。如果下载完成，图标会变为蓝色桶状。

2） 自动批准安装

如果觉得手工批准安装太麻烦，我们可以让WSUS自动批准。打开WSUS的管理页面，在选项中点击“自动批准选项”，如下图所示

如下图所示，我们选择对安全更新程序和关键更新程序批准安装，这样以后只要WSUS服务器发现微软的更新网站有了新的安全更新或关键更新，WSUS就会自动批准进行检测，进行安装！

好了，WSUS服务器端的设置已经基本完成，让我们去客户机上看一下吧。首先在客户机上可以运行gpupdate /force来加速组策略的生效，否则域成员服务器或工作站等候组策略生效可能最多需要90分钟。然后可以运行wuauclt /detectnow，这样客户机可以立即连接到WSUS服务器而不需要等待20分钟的延时，过程如下图所示。

等待一段时间后，客户机的右下角出现提示，告诉我们有一些更新需要安装，如下图所示，哈哈，WSUS开始工作了。

如下图所示，客户机从WSUS服务器上下载了四个更新，我们点击安装

安装过程如下图所示

客户机如果想知道到底安装了哪些更新，可以输入命令systeminfo，如下图所示，客户机安装补丁的数量和名称都已经列出来了。

管理员如果想了解补丁的部署情况，就可以使用WSUS强大的报表功能。管理员可以打开WSUS的管理页面，选择报告，如下图所示，点击“计算机的状态”

如下图所示，在左侧的视图中我们选择查看ITET计算机组已安装补丁的报表，点击应用。

如下图所示，WSUS显示了ITET组内每台计算机所安装补丁的统计信息。

如果想查看详情，可以点击计算机名左侧的＋号，如下图所示，WSUS显示了perth所安装的6个更新的详细信息。WSUS的报告功能还有很多用法，在此我们就不一一列举了。

有一点大家要注意，在上一篇博文中我们看到WSUS2.0刚安装完时只能支持操作系统的更新，功能是比较简陋的。好在WSUS服务器工作后，首先对自身组件进行更新，现在它已经可以支持微软的全系列产品了，我们再次查看同步选项中的更新产品，如下图所示，是不是吓了你一大跳？这变化也太大了吧。如果你有一些微软的其他产品也需要更新，不要犹豫，赶紧去更改WSUS的同步选项吧！

至此，我们完成了WSUS服务器的补丁分发，在下一盘博文中，我们会介绍如何部署WSUS的下游服务器。

转载于:https://blog.51cto.com/idiot988/754011

如何用WSUS2.0分发补丁相关推荐

部署WSUS2.0+SP1
WSUS是微软推出的一个补丁服务器,利用WSUS来下载补丁可以节省宽带,例如一个公司有500名用户,每个用户需要下<?xml:namespace prefix = st1 ns = " ...
wsus可以打mysql中间件补丁_配置WSUS3.0服务器给客户机分发补丁
配置WSUS3.0服务器给客户机分发补丁上篇博文中介绍了WSUS3.0服务器的部署,本文中介绍配置WSUS服务器后给客户机分发补丁.还是使用上篇博文中的拓扑结构BEIJING做DC和DNS服务器,G ...
实战详解WSUS2.0＋SP1部署：WSUS2.0系列之一
详解WSUS2.0+SP1部署目前在企业内网中,90%以上的桌面操作系统以及大部分的服务器都使用了微软公司的产品.微软产品素以界面友好,功能强大而著称,但同时也以补丁泛滥而令管理员头疼.微软为弥补产 ...
系统补丁分发服务器,如何让服务器分发补丁
要向服务器可以分发补丁建议安装要向服务器可以分发补丁建议安装 wsuswsus 2009 06 02 03 22 46 标签部署 wsus server 是微软推出一款为企业打补丁用的是免费的如 ...
WSUS2.0数据导入、导出（备份、还原）
以前我们做的WSUS实验都是让WSUS服务器通过互联网连接到微软网站去下载更新补丁,但是现实的生活中有些网络是与互联网隔绝的,这种情况下可以采用导入导出WSUS数据的方法来解决WSUS的更新问题.先 ...
libcareplus一个Qemu-6.1.0热补丁示例
libcareplus一个Qemu-6.1.0热补丁示例荣涛 2021年10月8日 1. 环境与步骤 1.1. 软件版本 Qemu:6.1.0 libvirt:7.0.0 virt-manager: ...
最新无限制188旅游系统V7.0升级补丁全社通V2.0补丁 Tourex 5.0源码下载
188旅游系统V7.0升级补丁全社通V2.0补丁 Tourex 5.0源码下载原188旅行网站办理体系今日正式晋级到7.0版别了,之前咱们都是V6.1.6.2--V6.6这样的晋级,这次咱们一次 ...
如何用MASM5.0 (图解)
第一个转载: 转自:https://wenku.baidu.com/view/796d8f6faf1ffc4ffe47ac5f.html 如何用MASM5.0 (图解) 预先在E:\masm5.0\M ...
记一次vCenter7.0安装补丁
目录一.准备工作 1.下载补丁 2.挂载ISO 3.开启SSH 二.安装补丁测试环境发现vCenter7.0有补丁可安装,随即进行安装补丁,记录一下. 一.准备工作 1.下载补丁根据vSpher ...

如何用WSUS2.0分发补丁

如何用WSUS2.0分发补丁相关推荐

最新文章

热门文章